Zepto Ransomware

显示全部楼层 · 发表于 2016-7-28 11:25:19

pal家族发表于 2016-7-28 11:13
瞬间编辑

之前发错了

显示全部楼层 · 发表于 2016-7-28 12:48:57

vm001 发表于 2016-7-27 22:14
管家被过了再正常不过了。。
看看360论坛里中了此招的，基本都是关了360开管家的

显示全部楼层 · 发表于 2016-7-28 18:14:43

pal家族发表于 2016-7-27 22:47
铁壳miss！！！！
衍生物耶miss

沙盘内双击了一下，触发IPS警报，衍生物被诺顿所杀

显示全部楼层 · 发表于 2016-7-28 18:18:45

Renascence 发表于 2016-7-28 18:14
沙盘内双击了一下，触发IPS警报，衍生物被诺顿所杀

但是有可能会被加密

显示全部楼层 · 发表于 2016-7-28 18:23:54

windows7爱好者发表于 2016-7-28 18:18
但是有可能会被加密

然而查看了一下并没有发现被加密

显示全部楼层 · 发表于 2016-7-28 18:33:58

Renascence 发表于 2016-7-28 18:14
沙盘内双击了一下，触发IPS警报，衍生物被诺顿所杀

昨晚尘梦测试时就是这样的。
看楼下是衍生物入库了？

显示全部楼层 · 发表于 2016-7-28 18:50:45

pal家族发表于 2016-7-28 18:33
昨晚尘梦测试时就是这样的。
看楼下是衍生物入库了？

不清楚啊

从诺顿的动作看，如果样本是联网下载某个已知程序（衍生物）回来再由衍生物进一步行动，那完全可以出现对衍生物的入库杀，理论上可以防止加密

不管怎么说，想完美的防御加密勒索，最有效的方法应该是文件防护了，要么预防性的在隔离区域建立文件备份以备不测，要么只能运用类似FD的手段控制所有进程对文件的修改操作

显示全部楼层 · 发表于 2016-7-28 19:18:18

pal家族发表于 2016-7-28 18:33
昨晚尘梦测试时就是这样的。
看楼下是衍生物入库了？

感谢人气，其实我多数潜水的

另外，刚刚蛋疼的偷窥了一下诺顿的隔离区，针对这个样本，貌似诺顿隔离了至少8个不同的.exe文件

显示全部楼层 · 发表于 2016-7-28 19:35:22

Renascence 发表于 2016-7-28 19:18
感谢人气，其实我多数潜水的

另外，刚刚蛋疼的偷窥了一下诺顿的隔离区，针对这个样本，貌似诺顿 ...

衍生物入库了而已，未知的就不行了

显示全部楼层 · 发表于 2016-7-28 21:06:00

windows7爱好者发表于 2016-7-28 19:35
衍生物入库了而已，未知的就不行了

您说的很有道理呢

[病毒样本] Zepto Ransomware